Netwerk scannen om mail-spambot te detecteren?

Waarschijnlijk fungeert je mailserver als open relay, kan je de configuratie (ontdaan van domeinna(a)m(en)) laten zien?

Zet logging aan op de firewall van de router, dan zie je wie er op poort 25 naar buiten gaat Weet alleen niet of een Fritz!box dat ondersteunt.

Beter nog zet je een regel dat alleen de mailserver verbinding naar TCP/25 op het internet mag maken.

Van Postfix is met name de directive smtpd_relay_restrictions van belang. Verder kun je http://www.abuse.net/relay.html gebruiken om te testen of je server inderdaad een open relay is

[ Voor 34% gewijzigd door Paul op 06-11-2012 17:20 ]

pinbarry schreef op dinsdag 06 november 2012 @ 16:53:
Ik heb een bedrijfsnetwerk

pinbarry schreef op dinsdag 06 november 2012 @ 17:24:
Wellicht had ik erbij moeten vertellen dat ik zelf niet veel verstand heb van Ubuntu of netwerken...

Zal ik dan eerst de open deur intrappen en vragen waarom jij degene bent die het op moet lossen?

Werkstations tegenhouden zelf te spammen:
Ik kan in de handleiding van de 7360 niet vinden of je überhaupt iets met de firewall aan kunt, anders moet je er iets anders tussen zetten waarbij je de firewall wel aan kunt passen.

Ubuntu:
Die directive staat in de config, ik weet niet hoe Ubuntu dat oplost, met losse files of direct in main.cf? Wel kun je met die eerder gelinkte site (abuse.net) erg simpel zelf testen of het de Ubuntu-server is

Eerste doel lijkt me om de bron te achterhalen. Je zegt overigens dat het meestal in het weekeinde is. Is er in het weekeinde iets anders aan het netwerk dan door de week?

De postfix-configuratie is opgeslagen in /etc/postfix/main.cf
Ik vind zo al vijf tips om een open relay te sluiten https://www.google.nl/sea...official&client=firefox-a
+ http://www.postfix.org/SMTPD_ACCESS_README.html
+ http://www.howtoforge.com/forums/showthread.php?t=44338
+ http://www.internetblog.o...an-open-relay-in-postfix/
+ http://serverfault.com/qu...-an-open-relay-in-postfix
+ http://blog.procontentand...open_relay_on_Postfix.htm
En tot slot de man-page (handleiding) van postqueue: http://www.postfix.org/postqueue.1.html

Welke modem heeft xs4all geleverd? http://www.xs4all.nl/klant/helpdesk/internet/
Een fritzbox (7270) heeft vrij rudimentaire ACL-mogelijkheden (omdat het consumentenhardware is).

Je kan ook een tweaker inhuren: http://tweakers.net/categ...-en-systeembeheer/aanbod/

Ook zou ik een inventaris maken van (een historie van) geassocieërde draadloze apparaten.

Symantec.com: Best Practices for Troubleshooting Viruses on a Network

Als alternatief voor abuse.net bestaat http://www.spamhelp.org/shopenrelay/

[ Voor 44% gewijzigd door 0xDEADBEEF op 06-11-2012 19:04 ]

Zet ALLE PC's uit in het weekend, en kijk of er nog spam mailtjes gestuurd zijn or worden.

Als je vanuit huis via Outlook, mail wil versturen via smtp.bedrijfxxx.nl, lukt dat dan? (die bedrijfxxx.nl adres is dan van je bedrijf waar dit probleem optreedt).

Als dat lukt, ZONDER naam / wachtwoord, dan heb je een open relay.

Wat voor services draait er op die Ubuntu-server? Mail hoeft namelijk niet per se van de postfix te komen, het kan ook zijn dat je via een website op die server mails verstuurd (formulieren die een mail genereren, zoals bijvoorbeeld reacties op blogposts, zijn daar bekend om). Zet anders poort 80 (inkomend) dicht voor alle niet-lokale adressen (aangezien je hem alleen intern gebruikt). Dit kan bijvoorbeeld met iptables (google moet je dat kunnen uitleggen).

Ik zou ook adviseren om je mail extern onder te brengen, bijvoorbeeld via Google Apps of Office360. Dat is niet heel duur (of als je heel klein bent, zelfs gratis). Kun je gewoon de uitgaande mailport (poort 25) dichtzetten, heb je nooit meer dit probleem, ook al raak je geinfecteerd.

Wellicht had ik erbij moeten vertellen dat ik zelf niet veel verstand heb van Ubuntu of netwerken... Hoe zou ik zo'n instelling kunnen doen?

Even iets zeggen dat wat lullig over gaat komen: ik zou het uitzoeken van dit probleem dan aan iemand uitbesteden die dat wel heeft, genoeg toko's zoals OGD enzo, die je daarvoor in dienst kunt nemen.

Om niet al te lullig te zijn: De tool die je zoekt is wireshark. Daarmee kun je netwerk-pakketjes sniffen en zou je al snel moeten zien wie er over poort 25 zit te sturen, zolang je maar op de juiste plek op het (bedrade) netwerk gaat zitten.

Met google en tutorials moet je dat dan gaan uitvogelen, want je kunt moeilijk verwachten dat Tweakers je probleem voor je gaan oplossen.

Keypunchie schreef op dinsdag 06 november 2012 @ 22:47:
Om niet al te lullig te zijn: De tool die je zoekt is wireshark. Daarmee kun je netwerk-pakketjes sniffen en zou je al snel moeten zien wie er over poort 25 zit te sturen, zolang je maar op de juiste plek op het (bedrade) netwerk gaat zitten.

Met google en tutorials moet je dat dan gaan uitvogelen, want je kunt moeilijk verwachten dat Tweakers je probleem voor je gaan oplossen.

Zou ik absoluut niet aan beginnen, is veels te veel werk voor waarschijnlijk helemaal geen resultaat.

Om te beginnen gewoon op je router firewall alles dichtzetten behalve poort voor alle pc's en poort 25 voor de server. Als dan 1 van je clients zat te spammen doet het zich niet meer voor (voor zover xs4all kan zien dan) en kan je na een weekje oid gewoon even de firewall-logs nakijken om de schuldige te pakken.

Maar waarschijnlijk was het niet een client en zal je je postfix moeten nakijken, daarvoor zie google : postfix open relay etc.

Zou ik absoluut niet aan beginnen, is veels te veel werk voor waarschijnlijk helemaal geen resultaat.

Een hub in je netwerk aansluiten en dan komend weekend een wireshark capture filter op poort 25 is "te veel werk"? Of desnoods "apt-get install wireshark" op die Ubuntu?

Voor iemand die weinig kaas van netwerken heeft gegeten is het misschien veel uitzoekwerk, maar het resultaat, vinden van de bron, lijkt me 100% gegarandeerd...

Ben het overigens uiteraard met je eens dat het dichtgooien van poort 25 prioriteit #1 is.

Wat dat betreft vraag ik me wel af hoe goed de logging van een Fritzbox is, maar toen ik daarop zocht vond ik wel dit:

http://ask.wireshark.org/...-traffic-with-a-fritz-box

Dat is de moeite van het proberen waard.

Keypunchie schreef op dinsdag 06 november 2012 @ 23:14:
[...]
Een hub in je netwerk aansluiten en dan komend weekend een wireshark capture filter op poort 25 is "te veel werk"? Of desnoods "apt-get install wireshark" op die Ubuntu?

Yep... Een capture filter voor de 1e keer instellen is simpel gezegd veel werk en erg foutgevoelig als je niet weet wat je doet.

Helemaal op de ubuntu (heeft wireshark onder ubuntu uberhaupt wel een gui?)

Eerste stap: zet poort 25 outbound dicht voor alles en iedereen behalve je Ubuntu server. Neem hiervoor desnoods contact op met de helpdesk van XS4ALL (die hebben er ook belang bij).
Tweede stap: laat via een online test controleren of je een open relay hebt op je mail server, bijvoorbeeld met behulp van: http://www.mailradar.com/openrelay/

Ik weet het, bovenstaande staat al eerder vermeld.

Laatste stap is om te achterhalen welke pc de mail verstuurd.

Gomez12 schreef op dinsdag 06 november 2012 @ 23:18:
[...]

Yep... Een capture filter voor de 1e keer instellen is simpel gezegd veel werk en erg foutgevoelig als je niet weet wat je doet.

Helemaal op de ubuntu (heeft wireshark onder ubuntu uberhaupt wel een gui?)

Eeh... "tcp port 25", klaar. Ja Wireshark heeft een GUI onder ubuntu en anders gebruik je tshark. De resulterende .pcap kan je desnoods nog gewoon onder Windows of iets anders met een GUI in Wireshark openen.